Доверенная загрузка — загрузка различных операционных систем только с заранее определённых постоянных носителей (например, только со встроенного накопителя) после успешного завершения специальных процедур: проверки целостности технических и программных средств вычислительного узла (с использованием механизма пошагового контроля целостности) и аппаратной идентификации и аутентификации пользователя.

Доверенная загрузка обычно включает аутентификацию; контроль устройства, с которого BIOS начинает загрузку системы; контроль целостности и достоверности загрузочного сектора устройства и системных файлов запускаемой операционной системы; расшифрование загрузочного сектора, системных файлов, либо шифрование всех данных устройства (опционально). Также может включать аутентификацию, шифрование и хранение секретных данных, таких как ключи, контрольные суммы и хеш-суммы, выполняемые на базе аппаратных средств.

Аутентификация

править

Аутентификация пользователя может производиться различными способами и на разных этапах загрузки компьютера.

Для подтверждения личности запускающего компьютер могут требоваться различные факторы:

Аутентификация может быть многофакторной. Также аутентификация может быть многопользовательской с разделением прав доступа к компьютеру. Так, один пользователь сможет только запустить операционную систему с жёсткого диска, в то время как другому будет доступно изменение конфигурации CMOS и выбор загрузочного устройства.

Аутентификация может происходить:

  • во время выполнения микропрограммы BIOS;
  • перед загрузкой главной загрузочной записи либо загрузочного сектора операционной системы;
  • во время выполнения программы загрузочного сектора.

Выполнение аутентификации на разных стадиях загрузки имеет свои преимущества.

Этапы доверенной загрузки

править

На различных этапах загрузки компьютера доверенная загрузка может быть выполнена различными средствами, и, следовательно, будет обладать различной функциональностью.

Выполнение микропрограммы BIOS. На этом этапе могут быть реализованы: проверка целостности микропрограммы BIOS, проверка целостности и подлинности настроек CMOS, аутентификация (защита от запуска компьютера в целом, либо только от изменения конфигурации CMOS или выбора загрузочного устройства), контроль выбора загрузочного устройства. Этот этап загрузки должен быть полностью выполнен в микропрограмме BIOS производителем материнской платы;

Передача управления загрузочному устройству. На этом этапе BIOS, вместо продолжения загрузки, может передать управление аппаратному модулю доверенной загрузки. Аппаратный модуль может выполнить аутентификацию, выбор загрузочного устройства, дешифрование и проверку целостности и достоверности загрузочных секторов и системных файлов операционной системы. При этом дешифрование загрузочного сектора операционной системы может быть выполнено только на этом этапе. Микропрограмма BIOS должна поддерживать передачу управления аппаратному модулю, либо аппаратный модуль должен эмулировать отдельное загрузочное устройство, выполненного в виде жёсткого диска, сменного носителя либо устройства загрузки по сети;

Выполнение загрузочного сектора операционной системы. На этом этапе также может быть выполнена проверка целостности, достоверности загрузчика, системных файлов операционной системы и аутентификация. Однако исполняемый код загрузочного сектора ограничен в функциональности вследствие того, что имеет ограничение на размер и размещение кода, а также выполняется до запуска драйверов операционной системы.

Использование аппаратных средств

править

Аппаратные модули доверенной загрузки имеют значительные преимущества перед чисто-программными средствами. Но обеспечение доверенной загрузки не может быть выполнена чисто аппаратными средствами.

Основное преимущество аппаратных средств — высокая степень защищённости секретной информации о паролях, ключах и контрольных суммах системных файлов. В условиях стабильной работы такого модуля не предусмотрено способа извлечения такой информации. (Однако известны некоторые атаки на существующие модули, нарушающие их работоспособность). Возможно засекретить алгоритмы шифрования, выполняемых аппаратно. При этом невозможно запустить компьютер, не вскрывая его содержимого. В случае шифрования загрузочного сектора, невозможно запустить операционную систему пользователя, даже после извлечения аппаратного модуля. В случае полного шифрования данных, невозможность получить любые данные после извлечения аппаратного модуля.


См. также

править

Литература

править
  • Петров А. А. Компьютерная безопасность. Криптографические методы защиты.

Примечания

править